Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Minister wil achterdeur in encryptie

Nieuwe ronde in oude discussie

06-11-2019 • 15:06

188 Linkedin Google+

Het lastige vraagstuk over een achterdeur in encryptie

Plannen om een achterdeur in te bouwen in software met encryptie hebben ook Nederland bereikt. De discussie werd tot nog toe in andere landen gevoerd, maar nu wil ook minister Grapperhaus van Justitie en Veiligheid dat Nederlandse opsporingsdiensten toegang kunnen krijgen tot versleutelde communicatie. Hij opperde zondag tegen actualiteitenprogramma Nieuwsuur dat er een achterdeur moet komen in de versleuteling van chat-apps. Hij vindt het onacceptabel dat verspreiders van kinderporno door die versleuteling buiten beeld blijven.

Grapperhaus zegt niet specifiek om welke apps het gaat, maar versleuteling wordt in steeds meer applicaties gebruikt. WhatsApp heeft sinds 2014 end-to-endversleuteling en applicaties als Signal gebruiken dit vanaf dag één. Bij end-to-endencryptie is communicatie gedurende het hele verzendproces versleuteld. Pas bij ontvangst op een smartphone wordt deze leesbaar en tussenliggende servers of man-in-the-middles hebben dan ook geen zicht op de inhoud. Eén app die vaak genoemd wordt als het gaat om dubieuze communicatie door bijvoorbeeld terroristen, is Telegram. Die software ondersteunt ook end-to-endversleuteling, maar alleen als een gebruiker daarvoor specifiek een anonieme chat opent. Berichten en media die via openbare kanalen worden gedeeld, zijn alleen versleuteld op de server van Telegram zelf.

Grapperhaus noemt het woord 'achterdeur' niet expliciet in zijn plannen. Hij heeft het over 'een sleutel' waarmee het Openbaar Ministerie of een opsporingsdienst toegang moet krijgen tot versleutelde berichten. Dat moet gebeuren zodra er verdenkingen zijn van in het bijzonder kindermisbruik, al haalt Grapperhaus ook kort terrorisme aan als rechtvaardiging. "Ik wil dat een rechter kan bepalen wanneer we informatie moeten kunnen inzien wanneer er verdachte dingen spelen", zei Grapperhaus tegen Nieuwsuur.

De praktijk

Grapperhaus heeft geen uitgebreid plan uiteengezet. Hij zei slechts tegen Nieuwsuur dat hij 'om de tafel wil' met grote techbedrijven om te kijken hoe zij dat voor elkaar konden krijgen. Het is dus niet te zeggen hoe hij zijn plan ten uitvoer wil brengen en hoe hij over de belangrijkste hobbels heen wil komen. Het plan komt met nogal wat vraagstukken: hoe voorkom je misbruik door andere partijen? Door de overheid? Welke bedrijven moeten hieraan meedoen? Geldt dit plan voor Nederlandse bedrijven of internationale bedrijven die in Nederland opereren? Hoe dwing je die bedrijven de Nederlandse wetgeving te volgen?

De plannen van Grapperhaus zijn nog niet echt goed uitgewerktAls beveiligingsexperts zeggen dat 'een enkele achterdeur niet mogelijk is', dan bedoelen ze niet dat dat technisch niet kan. Er zijn best manieren te bedenken waarbij slechts één partij in sommige gevallen kan meelezen, door ondersteuning voor een specifiek slot met sleutel in te bouwen. Die sleutel zou je dan bijvoorbeeld via een escrow-dienst kunnen laten afgeven als een rechter-commissaris daarom vraagt. Maar met zulke puur theoretische oplossingen ziet Rejo Zenger van Bits of Freedom al problemen ontstaan. "Daarmee verlies je fundamenteel het vertrouwen in een dienst. Je weet dan nooit of iemand toch niet meekijkt. En dat vertrouwen is essentieel voor een dienst, of beter gezegd, voor alle soortgelijke diensten, ook als die geen achterdeur hebben. Bovendien is niet te garanderen dat die sleutel dan veilig bewaard blijft en zo niet wordt misbruikt door anderen."

Discussie in andere landen

Grapperhaus is verre van de eerste politicus met een dergelijk plan. De discussie over dit soort achterdeurtjes is al vaak gevoerd, maar het debat werd nog niet eerder in Nederland zo op scherp gezet. De prominentste discussie over de gevolgen van encryptie voor de autoriteiten deed zich voor in Amerika. Daar lag de FBI maandenlang met Apple in de clinch over de versleuteling van een iPhone 5c. Het ging om de telefoon van de San Bernardino-terrorist, waarvan de FBI vermoedde dat die veel informatie bevatte over mogelijke andere terroristische plannen of groepen. Eén probleem: de experts kregen geen toegang tot de data op de telefoon. Die telefoon was bovendien niet het enige lastige obstakel. De FBI zei in 2017 dat 6900 versleutelde smartphones onderzoeken belemmerden.

Inmiddels spreekt ook de Amerikaanse politiek zich uit tegen sterke encryptie. In een speech op een conferentie over cybersecurity zei minister van Justitie William Barr dat hij bezorgd was over 'wetteloze zones' op internet door versleuteling. Hij zei daarin dat end-to-endencryptie 'onverantwoord' is en tot slachtoffers leidt, wijzend naar drugskartels en terroristen die WhatsApp gebruiken. Barr zei ook dat gebruikers bepaalde veiligheidsrisico's maar moesten accepteren bij een achterdeur in de versleuteling. Tot nu toe hebben de Amerikaanse plannen nog niet tot concrete wetgeving geleid, maar Barr geeft aan met de techbedrijven in gesprek te willen. Hij stelde verder geen maatregelen voor.

Ook in Duitsland werd een balletje opgegooid, maar dat ging nog net een stap verder. De Duitse minister van Binnenlandse Zaken Horst Seehofer pleitte in mei voor een algeheel verbod op versleuteling. Het resulteerde echter niet in een concreet plan.

De discussie rondom encryptie laait elke paar jaar weer opHet enige voorbeeld waarin een achterdeur in de praktijk wordt ingezet, betreft Australië. In de Telecommunications and Other Legislation Amendment Act 2018 staat een controversiële passage die techbedrijven die versleutelde communicatie aanbieden, opdraagt 'vrijwillige en verplichte medewerking te bieden aan opsporing- en inlichtingendiensten'. De nieuwe wet werd ondanks veel kritiek van experts aangenomen, maar de precieze gevolgen ervan zijn nog onduidelijk. Bedrijven zijn op basis van de plannen niet verplicht een achterdeur in te bouwen, maar hoe zij dan wel toegang moeten verschaffen, is nog niet helder. Wel zijn veel bedrijven al bang voor de gevolgen; sommige hebben het er al over helemaal weg te blijven uit het land.

De 'angst voor encryptie' die autoriteiten lijken te hebben, werd aangewakkerd door plannen die Facebook in maart presenteerde. Daarin kondigde het sociale netwerk een radicale koerswijziging aan. De focus van het bedrijf zou niet langer komen liggen op statussen en foto's delen, maar op anonieme communicatie. Alle berichten op het platform, zowel via Messenger als via Instagram, zouden versleuteld verstuurd moeten worden.

Ontsleutelplicht en kabinetsbeleid

In Nederland concentreerde de discussie zich grotendeels op de kwestie rondom de 'ontsleutelplicht'. De invoering daarvan werd in 2012 aangekondigd. Toen wilde Ivo Opstelten, toenmalig minister van Veiligheid en Justitie, dat verdachten van ernstige misdrijven zoals kinderporno en terrorisme, verplicht konden worden gesteld om versleuteling van opslag ongedaan te maken. Dat plan kreeg veel kritiek, onder andere van de Raad voor de Rechtspraak. Het zou namelijk direct indruisen tegen het nemo tenetur-wetsbeginsel: een verdachte kan niet worden gedwongen mee te werken aan zijn eigen veroordeling. Een paar jaar geleden waren er plannen die decryptieplicht op te nemen in de Wet computercriminaliteit III, maar het kabinet schrapte dat plan in 2015.

Opvallend is nu dat Grapperhaus weliswaar vindt dat er 'geen enkel excuus is' om kindermisbruik af te schermen, maar dat hij tegelijk blijft vasthouden aan het schrappen van de ontsleutelplicht. Eerder dit jaar schreef hij in een brief aan de Tweede Kamer dat hij vond dat de ontsleutelplicht haaks stond op dat nemo-teneturbeginsel. Dat sluit wel weer aan op het officiële standpunt van de Nederlandse regering over encryptie. Dat is 'positief', schreven de voormalige ministers Van der Steur van Veiligheid en Justitie en Kamp van Economische Zaken in 2016 in een Kamerbrief. "Cryptografie speelt een sleutelrol in de samenleving", staat in de brief. "Het is op dit moment niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland." Later stemde de Tweede Kamer in met een motie tegen het afzwakken van encryptie. De AIVD had kort daarvoor laten weten het liefst te zien dat de encryptie in chatapps beperkt zou worden.

Grapperhaus had al wel eerder laten doorschemeren bezorgd te zijn over sterke encryptie. Eerder deze maand zei hij al dat de specifieke plannen van Facebook hem niet lekker zaten. Grapperhaus gaat 'binnenkort' naar Washington om met zijn Amerikaanse ambtsgenoot te spreken over het onderwerp.

Kritiek van experts

'Een achterdeur voor één partij is een achterdeur voor iedereen'De uitspraken van Grapperhaus kwamen hem afgelopen week direct op veel kritiek te staan. Die was te verwachten; vrijwel geen enkele beveiligingsexpert vindt een achterdeur een goed idee. Het belangrijkste argument is dat een achterdeur voor één partij niet bestaat. Als zo'n sleutel beschikbaar is, dan kan die uitlekken of door de aanbieder zelf misbruikt worden. Het probleem is hoe dan ook praktisch van aard. "Voor je weet wanneer iemand kinderporno verstuurt, moet je eerst de hele tijd meekijken met wat mensen online doen", zegt Eward Driehuis van Cybersprint tegen BNR. Bovendien, denkt hij, gebruiken serieuze criminelen heel andere infrastructuur dan de apps waartegen Grapperhaus wil optreden.

Het grote probleem waarover vrijwel iedere expert het eens is, is dat je geen achterdeur kunt hebben voor slechts één partij. Ook Bits of Freedom is kritisch om precies hetzelfde argument. "Het is niet mogelijk een 'sleutel voor alles' te maken die je alleen voor de good guys beschikbaar stelt", zegt Rejo Zenger van de digitale burgerrechtenorganisatie. "Je kunt beveiliging niet een beetje verzwakken."

Vincent Böhre van Privacy First voegt daaraan toe dat encryptie in veel landen meer betekent dan alleen anonieme communicatie. "In sommige landen kom je in grote problemen als je niet veilig kunt communiceren. In landen waar je geen lid van een mensenrechtenorganisatie kunt zijn of een dissident bent, gaat het dan om een kwestie van leven en dood. Een achterdeur voor één groep gebruikers levert gevaar op voor de andere."

Kritiek komt ook uit politieke hoek. D66-Kamerlid Kees Verhoeven vindt het een slecht plan, zegt hij tegen BNR. "Je kunt encryptie niet voor één specifiek geval doorbreken", zegt ook hij. "Kindermisbruik moeten we tegengaan, maar dat moet je niet doen door privécommunicatie onveiliger te maken." Eerder deze maand stelde hij Kamervragen aan Grapperhaus over diens zorgen rondom de encryptieplannen van Facebook.

Onderzoek

De waarde van het kunnen doorbreken van encryptie is wetenschappelijk onderzocht door onderzoekers van de Universiteit van Columbia. De conclusie daarvan was dat het plan om één sleutel te hebben om berichten te lezen op verschillende vlakken, een slecht idee is. In dat onderzoek werd vooral gekeken naar de eerdergenoemde escrow-dienst. "Zulke diensten moeten voor lange tijd beveiliging opleveren, maar de sleutels wel snel paraat hebben voor opsporingsdiensten. Die basisvoorwaarden maken het erg duur en potentieel onveilig voor veel applicaties en veel gebruikers", staat in het onderzoek. Daarbij moet overigens wel de kanttekening worden gemaakt dat het onderzoek uit 1997 stamt en dat daarom eventuele nieuwe technische mogelijkheden niet zijn meegenomen.

Kees Verhoeven denkt dat een oplossing voor het probleem rondom online kindermisbruik eerder bij de providers ligt. Die aanpakken en laten meewerken om hosting van de bestanden tegen te gaan, zou een veel beter beleid zijn, betoogt hij.

Ook Zenger van Bits of Freedom denkt dat er voor de politie andere opties beschikbaar zijn. Hij wijst op de Wet computercriminaliteit III. "Nadat het kabinet besloot dat het verzwakken van encryptie onwenselijk is, heeft de politie de bevoegdheid gekregen om zelf computers te hacken. Dan hoef je de versleutelde data in transit niet meer te kraken, maar kun je inbreken op een computer om zo iemand te pakken. Een achterdeur is wat dat betreft dus helemaal niet nodig." Voorlopig denkt hij trouwens niet dat het plan doorgaat. "Het Nederlandse standpunt blijft dat encryptie belangrijk is. We voeren deze discussie al zo lang en keer op keer op keer blijkt dat het niet wenselijk is."

Reacties (188)

Wijzig sortering
Het allermooiste van dit verhaal vind ik wel, dat zelfs als er een methode wordt gevonden om een achterdeur in te bouwen en zeker te stellen dat die alleen onder de 'juiste' omstandigheden gebruikt wordt, het voor criminelen kinderspel is om zelf een dienst te bouwen met encryptie, zonder achterdeur (alles is immers als open source verkrijgbaar).

Wat overblijft, is verzwakte privacy, zonder dat we er iets mee opgeschoten zijn
Je kan ook niet veel verwachten van een minister zonder technische achtergrond. Natuurlijk zullen er experts zijn die hem het probleem proberen uit te leggen, maar dat is in veel gevallen een hopeloze zaak omdat mensen van deze leeftijd en deze achtergrond het simpelweg niet meer kunnen volgen.
Ik ben ervan overtuigd dat met name onze buitenlandse bondgenoten (zoals de VS), Grapperhaus hebben opgedragen deze positie in te nemen. Ik denk dat Grapperhaus slim genoeg is om te beseffen dat het geen oplossing biedt voor echte criminele netwerken. Echter Nederland is allang niet meer politiek onafhankelijk zeker niet op het gebied van defensie en veiligheid.

Ik geloof niet dat landelijke politici in 2019 te dom zijn om zelfs de simpelste technische vragen te begrijpen.
Maar waarom is deze push vanaf Amerika er? Snappen onze vrienden daar dan niet dat het weerhouden van encryptie compleet onhaalbaar is? Ook in de US is het triviaal om dit soort maatregelen te omzeilen.
Als dit het geval zou zijn, waar ik persoonlijk niet in geloof, dan is het motief niet cybercriminaliteit. Het motief is dan om af te kunnen luisteren op verzoek, waarbij gezegd wordt dat het om cybercriminaliteit gaat. Zo heeft Amerika sinds 9/11 al meer gedaan onder de noemer terreurbestrijding die in werkelijkheid een crimineel niet tegenwerken, maar de privacy van de normale burger niet ten goede komen.
Waarom noem je de feiten niet?

- Overheden mogen nog altijd niet hun eigen burgers afluisteren zonder gerechtelijk bevel
- Om hier omheen te komen hebben inlichtingendiensten van verschillende landen in het geheim met elkaar afgesproken dat zij het toestaan dat de tegengestelde overheid data verzameld van deze mensen.

In de praktijk neemt dus de Nederlandse (en andere) overheid het verzamelen van VS gerelateerde data op zich en de VS bijvoorbeeld de Nederlandse data. Deze worden weer via schimmige wegen en constructies met elkaar uitgewisseld waarbij al deze diensten aanspraak kunnen maken op elkaars data.

Dit is wat er feitelijk aan de hand was en er is geen commissie die bepaald heeft dat dit niet meer gebeurd.

@woopdiedoo, nu duidelijk waarom deze push er is?
Anders misschien wat meer diepgang zoeken te beginnen bij https://en.wikipedia.org/...ance_in_the_United_States

[Reactie gewijzigd door Liberteh op 7 november 2019 16:32]

Over het algemeen gebeurt het volgende; óf een minister maakt zonder (goed) advies een onuitvoerbaar wetsvoorstel, óf lobbyisten zullen alles haarfijn aan de minister uitleggen zodat het in ieder geval goed uit gaat pakken voor de financier van de lobbyisten.

Met alle gevolgen van dien.
Ik denk dat in dit geval Grapperhaus alleen maar een boodschapper is en de wens van de AIVD en de politie overbrengt. Misschien praat hij Trump zelfs na.
Als hij echt verstand van zake zou hebben had hij dit niet gedaan. Een eigen encrypted dienst is niet moeilijk op te zetten. De source code kan gewoon op github vinden.
Je kan ook niet veel verwachten van een minister zonder technische achtergrond.
Daar hebben we dus ministeries voor, met budgetten voor experts te raadplegen.

[Reactie gewijzigd door elmuerte op 6 november 2019 19:54]

Maar wie zien echter al jaren dat het niet werkt.
Inderdaad. En uiteindelijk gaat het dan om politiek en dan zal uiteindelijk toch niet de juiste beslissing vallen.

Politiek is dat proces dat van elk goed idee een middelmatig idee maakt dat vervolgens 4 maal zo duur is of 4 maal zo lang duurt om te implementeren.
Je kent justitie niet. Het meest achterlijke ministerie op IT gebied. Bovendien is justitie behoorlijk arrogant en niet bereid om advies/bijstand van b.v. Logius of ICTU te accepteren.
Dat zijn dan weer dingen die ik zo niet zou zeggen, maar wat me hoe dan ook opvalt is dat op MinJus altijd een Judge Dredd-wannabe wordt neergezet. Ambtenaren die een negatief advies indienen over dit soort proefballonnen worden in het beste geval gepasseerd, experts worden genegeerd omdat ze niet het gewenste zeggen en het gros van de bevolking heeft toch echt moeite met waar dit over gaat (anders dan "kinderporno bestrijden"). Of het ministerie daarmee arrogant is? Misschien.
[...]
Daar hebben we dus ministeries voor, met budgetten voor experts te raadplegen.
De ministeries hebben zelf ook geen kennis van deze materie. Daar hebben ze dure consultants en externe cyberspecialisten van bedrijven als FOX-IT voor nodig. Een zak geld is onvoldoende hiervoor.
Sterker nog, mensen van die leeftijd zijn extreem koppig en weigeren te accepteren dat hun ideeën onrealistisch of onuitvoerbaar zijn, oftewel om toe te geven dat ze fout zitten - Vooral in de politiek.

Grapperhaus zal dit overigens ook als een persoonlijk stokpaardje voor zijn carrière zien, en niet als een dienst jegens de Nederlandse bevolking. Ik geloof voor geen meter dat dit voorstel een altruïstische achtergrond heeft.
+Nu ja; een politicus heeft het nieuws nodig om zichtbaar te zijn. Anders krijgt hij/zij of de partij geen stemmen meer. Het oplaten van proefballonnen gebeurt vaker. Met (veel) tegengas is dat een indicatie dat het plan niet goed is. De geëigende weg om dat te laten weten is via de politieke partij. Dat doen w.s. niet zo heel veel mensen.

Daarnaast: met de krant regeer je geen land. Kranten hebben o.a. politici nodig voor bladvulling.

En als laatste; als burger, krant en iedereen bij de eerste beste fout gereed staat met geslepen messen (Barbertje zal hangen), dan zal een verantwoordelijk minister ook wel eens ferme taal uitslaan (kijk eens hoe goed ik alles onder controle heb). De nuance van wat (technisch/juridisch) mogelijk is, sneeuwt dan wellicht onder. En het zijn allemaal mensen (minister, departement), zodat ook overal iets mis kan gaan. Ik wil daarmee niet ernstige fouten bagatelliseren, maar het ligt volgens mij allemaal een heel stuk genuanceerder. Een land besturen is een kunst, laten we het daar maar op houden.
Criminelen, ook criminele organisaties bouwen niet zomaar een goed encrypted communicatiesysteem. Ze zijn wel georganiseerd maar ze vertrouwen elkaar allemaal niet dus er zit een limiet op het organisatorisch vermogen.
Dus, dan neem je een bestaand opensource cryptosysteem zoals PGP. Het bestaat al, en er zal altijd wel ergens een versie beschikbaar blijven zonder backdoors.
dat hoef je niet aan criminelen over te laten dat doet de opensource community voor je. Genoeg mensen die het er niet mee eens zijn en die capable zijn om dit te bouwen en op GitHub zetten / nieuwe app launchen.
Of zetten ze een programmeur aan het werk die zelf wel even alle infrastructuur beheert voor een messaging app? En welke criminelen gaan die app allemaal gebruiken?
Duizenden. https://www.parool.nl/nie...lf-hun-probleem~b27e50ce/
Zijn achterban? Dat hij het begrijpt betekent niet dat zijn kiezers het begrijpen. CDA stemmers zijn bovengemiddeld oud en conservatief, die horen: meer kans om criminelen te pakken en vinden het een goed plan. Dan kan je als politicus ook maar beter voor zijn helaas.
Ik word er moe van dat er elke keer kinderporno en terrorisme erbij gehaald moet worden om de discussie emotie te geven. Dit zal uiteindelijk leiden tot een glijdende schaal. Wanneer gaat de overheid meekijken of meeluisteren. Wanneer is het rechtvaardigt? Als een journalist zijn bron niet wil opgeven hoef je hem niet meer vast te zetten. Je kijkt en luistert gewoon mee. Wat doe je met bedrijfsspionage? Met deze gedachten zie ik niet zo snel dat iemand thuis aan gevoelige documenten of veilig aan broncode kan werken. Is dat allemaal nog wel veilig. Betekent het dat de overheid wel toegang heeft tot sterke encryptie voor hun zaken.
Als bepaalde bronnen niet meer beschermd kunnen worden wat is dan het verschil met China?
Ik zou zeggen laat de beste man dan eens beginnen met alle data van zijn ministerie en priveleven etc 100% open en bloot op internet te zetten en te houden.
Dat is namelijk wat hij met alle data wil doen, oftewel laat hem de eerste steen werpen.

Want die sleutel die blijft niet geheim, die wordt gelekt en dan ligt alles van iedereen open op straat...
Waarschijnlijk beneden gemodereerd, een uitleg die een "oude analogie" gebruikt om een bepaald principe uit te leggen, en die hopelijk wordt begrepen door mensen die geen fundamenteel begrip hebben van "computers" en "internet" (oa veel mensen onder onze politici).

Beschouw encryptie als een soort ketting, elke schakel is een vorm van encryptie. Door het bouwen van een "achterdeur", wordt een "schakel" opzettelijk verzwakt, en daar door gaat de ketting breken. Je kunt geen "klein beetje" of "iets minder" encryptie hebben.

Verder wordt encryptie al gebruikt voor internet, financiële transacties, en als er een politicus aan de macht komt die geen goede bedoelingen heeft?

En als een overheid toegang kan krijgen, dan zullen criminelen dat ook wel voor elkaar krijgen.

[Reactie gewijzigd door obimk1 op 7 november 2019 19:21]

Ah, het kinderporno en terrorisme argument dat alle deuren doet openen. Mensen die zich daarmee bezighouden doen dat allemaal via Whatsapp, en als encryptie van de grote publieke platformen voor overheden teniet zijn gedaan zijn alle problemen de wereld uit. Wij als pinautomaat voor de overheid burgers kunnen de overheid nu en in de toekomst gewoon vertrouwen. :/

Het is dus tijd om weer eens wat te doneren aan Bits of Freedom.

Verder is het wachten tot de overheid de sloten op je voordeur komt vervangen zodat de overheid altijd snel en makkelijk bij je binnen kan komen in geval van brand, gijzeling of medische situatie. Hoe kun je daar nu tegen zijn?

[Reactie gewijzigd door yade op 8 november 2019 14:23]

Kan de overheid alsjeblieft een keer competente mensen inhuren wanneer ze iets rondom IT zaken willen gaan doen? Aan alles blijkt dat Grapperhous totaal geen idee heeft waar hij het over heeft. Nu zullen er ongetwijfeld ook ambtenaren aan dergelijke proefballonnen hebben gewerkt, maar ook dit zijn dus niet de experts die je zoekt. Zo moeilijk is het toch niet? Er zijn legio goede consultancy bureaus, huur gewoon goede experts in.
Over bestuurders is altijd wel iets te zeggen, vooral wanneer het generalisten zijn. Maar ik denk dat het een rollenspel is en competentie iets anders is.

Minister Grapperhaus:
  • Als minister van Justitie en Veiligheid moet hij er voor zorgen dat de diensten onder zijn verantwoordelijkheid hun werk zo goed mogelijk kunnen doen. Dit kunnen ze gewoon beter wanneer alles lopen ligt. En dan zijn (hoe verschrikkelijk ook) kinderporno en terrorisme de gebruikelijke open deuren waar Minister Grapperhaus veel resonantie mee genereert.
  • De enige manier om communicatie makkelijk open te leggen is met een sleutel. Ook deze open deur moet hij intrappen. Misschien krijgen we net zoiets als in Australië. Hoe onpopulair en onverstandig dit misschien ook is.
Meneer Grapperhaus:
  • Ik denk dat meneer Grapperhaus ook niet wil dat iedereen zijn communicatie kan lezen. Maarja, dat is weer een andere rol.
En zo zijn er wel meer rollen te beschrijven, maar ik denk dat competentie echt niet het struikelblok is, maar de wens voor openheid met nogal onwenselijke consequenties.

Wat belangrijk is om te snappen, dat hij slechts een pion in een systeem is. Hij moet zijn wensen kunnen uiten en dat doet hij ook. Daarop komt een tegengeluid etc. en daar zal waarschijnlijk niets uitkomen. Heel effectief is zijn actie denk ik niet (gelukkig maar), maar hij moet zijn wensen uiten.

edit: laatste alinea toegevoegd

[Reactie gewijzigd door WienerBlut op 6 november 2019 16:00]

Als minister van Justitie en Veiligheid moet hij er voor zorgen dat de diensten onder zijn verantwoordelijkheid hun werk zo goed mogelijk kunnen doen. Dit kunnen ze gewoon beter wanneer alles lopen ligt. En dan zijn (hoe verschrikkelijk ook) kinderporno en terrorisme de gebruikelijke open deuren waar Minister Grapperhaus veel resonantie mee genereert.
De enige manier om communicatie makkelijk open te leggen is met een sleutel. Ook deze open deur moet hij intrappen. Misschien krijgen we net zoiets als in Australië. Hoe onpopulair en onverstandig dit misschien ook is.
Dit stukje zit dus zo vol met drogredeneringen..... zie alleen al de opmerking van @deputy hierboven! Niks van dit alles gaat zorgen voor meer veiligheid. En met incompetentie bedoel ik dus dit soort drogredeneringen geloven zonder 2 stappen verder na te denken wat er technisch allemaal wel en niet kan.
Ik ben het met je eens dat het drogredeneringen zijn en ik denk ook dat maar weinigen ook echt geloven dat kinderporno en terrorisme voorkomen gaat worden door het blootleggen van WhatsApp gesprekken.
Er is altijd weer een andere manier te vinden om beschermd te communiceren.

Het merkwaardige en misschien wel kwalijke aan het hele gebeuren is hoe het systeem werkt. Het gaat om aftasten van mogelijke oplossingen (deze sleutel oplossing, hacken, schaduwen, noem ze allemaal maar op) in een politieke arena waar de (publieke) opinie enorm belangrijk is. Denk aan verkiezingen en besluitvorming in een regering waar meerdere partijen in een coalitie zitten.

Minister Grapperhaus begint met een extreme dat er waarschijnlijk nooit zal komen: de sleutel. Ik vermoed, dat hij bij iets uitkomen dat veel milder is, maar voor sommige partijen en een deel van het electoraat nog altijd teveel gevraagd is. Daarom creëert hij nu een virtueel midden door het spectrum van oplossingen op te rekken. Het resultaat zal dan een oplossing zijn die goed genoeg voor een politieke meerderheid; bijvoorbeeld niet die sleutel maar een hack-permissie ofzo (zomaar een idee).

De minister kan nu in ieder geval zeggen dat hij "alles" heeft geprobeerd, hoe onzinnig zijn voorstel ook is en inefficiënt het proces ook wordt doorlopen.
Haha, dat is wel heel cynisch. Ik denk dat de discussie een "helicopter-view" behoeft, want nogmaals: incompetentie is niet het euvel. Wanneer de politieke context en de werking van het bestuurlijke systeem genegeerd worden, slaat ieder commentaar de plank mis omdat er geen duiding in zit.

Misschien wil Minister Grapperhaus wel dat zijn idee als onzinnig wordt bestempeld en dat er over een paar werken een alternatief wordt voorgesteld. Een voorbeeld kan zijn dat de politie ineens iedereen mag hacken, of dat er een klimaat wordt geschapen voor een andere inlichtingenwet, of wat ook.

Ik kan bijna garanderen dat er achter zijn actie een strategie zit en dat hij misschien incompetent lijkt, maar dat niet is. Maar dat is mijn persoonlijke noot.
De politie mag ook iedereen hacken. Officieel hebben ze een reden nodig, maar die verzinnen ze waar je bij staat. Die rechter mag toch niets bekend maken, dus wie houd je tegen.
wie houd je tegen
Diezelfde rechter die de reden van de politie op geldigheid toetst, hopelijk.
Grapperhaus is een enge man. Waarom horen we trouwens niks in de media over die officier van kinderlokker justitie die werd vrijgesproken door een met opzet veroorzaakte administratieve fout?
Chris Klomp heeft er een mooi stuk over geschreven op zijn site https://chrisklomp.nl/hoe...chte-officier-liet-lopen/
De rechter heeft uitspraak gedaan. Dus is de zaak voor justitie klaar.

Dat dit gewoon een spelletje is geweest is een ander verhaal, en daar moet de hele justitie top inclusief minister zich voor verantwoorden. Maar niemand die ze ter verantwoording roept, ze zijn te bang. Ze zeggen gewoon dat het een foutje was en niemand die dat kan weerleggen.

De overheid in Nederland is in ieder geval gedeeltelijk corrupt.

Grapperhaus, en anderen voor hem zijn gewoon gevaarlijk. Waarom is die Opstelten na zijn"fout" niet opgepakt, of zelfs nu nog. Hij geeft zo ongeveer toe dat hij de wet heeft overtreden.
Dit krijg je er van als je (bijna) 60+ers aan het roer in de overheid zet. In nieuwe ontwikkelingen (lees: ICT) kunnen zij totaal niet mee en roepen ze maar wat. Als grapperhaus zich hierover uitspreekt dan mist er enige specificatie. Hierdoor kunnen wij ook niet mee in wat er bedoeld word.

Is deze sleutel software of hardwarematig? Wil je op het moederbord van iedere telefoon een apart circuit hebben dat de interactie van de gebruiker opvangt en bij aanvraag verzendt naar de specifieke host oid. Wil je dat er op de server van bepaalde chat applicaties een "backdoor kanaal" kan worden aangeroepen die op het ID van de gebruiker kan zoeken en mee kan lezen? Wil je simpelweg de applicaties verplichten om de informatie te verzenden of *tijdig* de encryptie van een bepaalde gebruiker uit te kunnen zetten?

Dit zijn moeilijke begrippen en aangezien er nog niets is gedefinieerd/gestandaardiseerd, zijn bedrijven niet verplicht om hieraan mee te doen. Ferd doet er vrij nonchalant over en schuift gewoon mee aan de tafel van incompetente beheerders van informatica. Zolang deze mensen hieraan zitten kunnen criminelen hun vrije gang gaan. Die backdoor komt er wel (mijn mening)
Ik denk dat je 60 plussers onderschat, encryptie was er al voordat de huidige 60 plussers geboren waren.

Het is een politicus, een man met een agenda. Het zal voor Grapperhaus echt niet moeilijk zijn om het concept van encryptie te snappen, inclusief de risico's die vastzitten aan het achter de hand houden van een sleutel. Hij hoeft daarvoor geen enkele technische kennis te hebben.
Dan huren/zoeken ze net zo lang tot er een bureau is dat verteld wat ze willen horen.
Gezien de overheid altijd alles moet aanbesteden zijn bijna altijd dezelfde partijen aan tafel gezien ze alleen met trusted suppliers werken. Dus eens met je opmerking, alleen zelden realistisch.
Ik vind het zelfs nog erger dan onwetendheid. Als Grapperhaus maar een greintje verstand heeft dan moet hij snappen dat als zijn plan wordt doorgevoerd, hij letterlijk levens in gevaar brengt. Er zijn genoeg landen waar het levensbedreigend is als je een "verkeerde" politieke opinie of sexuele voorkeur hebt.
Kan de overheid alsjeblieft een keer competente mensen inhuren wanneer ze iets rondom IT zaken willen gaan doen?
De grap is dat ze dat soms wel doen, maar wanneer ze dat doen om projecten een beetje te checken of ze niet uit de klauwen lopen, deze mensen enorm worden gedwarsboomt
Ik denk dat als je inzage kunt hebben in chatverkeer dat iedere overheid die functie graag wilt hebben, of in ieder geval de geheime diensten. Bij whatsapp is het de vraag hoe goed en waar het versleuteld is want Facebook wil namelijk ook advertenties gaan plaatsen naar de voorkeuren wat mij zegt dat FB de teksten op trefwoorden kan lezen. Een masterkey om het verkeer te kunnen snifferen zal best mogelijk zijn en misschien zal de NSA en consorten wel alle teksten kunnen scannen.
Maar ja, of Grappehaus een dergelijke toegang zal krijgen betwijfel ik.
Ik zou hem andersom stellen. Als je het misbruik van kinderen wil terugdringen, wat is dan de beste manier? Hoe bereiken we relatief veel resultaat met relatief weinig inzet die ook nog eens specifiek, proportioneel en niet op een betere manier in valt te vullen.

Dit soort ideeen komen voor mij namelijk een beetje uit de lucht vallen, en in die zin raakt het heel erg aan wat jij al schrijft: "... competente mensen inhuren ...".

Het procesmatig, doelgericht en gestructureerd een onderwerp aanpakken. Ik mis het enorm in eigenlijk alle berichten die tegenwoordig uit de politiek komen.

Tegelijkertijd snap ik dat bepaalde rollen en posities vanuit die plek kijken. Dan is de vraag meer: wat mag je verwachten van een minister? Maar ook dit zie ik niet terug in Nederland, want dan zou je verwachten dat bijvoorbeeld de minister van defensie/oorlog voor alles een militaire oplossing zou hebben. Boerenprotest? Militairen er heen en geweld! En dat de minister van onderwijs het zoekt in het onderwijs. Boerenprotest? We gaan het lesprogramma en de didactiek aanpassen!

Maar dat is niet wat ik zie. Ik zie geisoleerde ideeen, waarvan je eerder zou verwachten dat ze bij een verborgen agenda horen als het geen geisoleerde ideeen zijn. Terwijl er veel kennis en kunde (nog) is in Nederland.
Vraag is eerder wanneer iets "IT zaken" zijn. Een nieuwe applicatie voor diverse overheidsdiensten; ja. Maar hier praat je over iets heel anders, waar "IT" rakelings ermee te maken heeft, namelijk enkel en alleen de encryptie, maar dat alleen, is dat al genoeg om te zeggen dat iets een "IT zaak" is?
Wellicht heeft het niets met incompetentie te maken, maar wordt Grapperhaus gewoon gepiepeld door anti-encryptie-bondgenoten VS, AUS en VK, om dit er door te drukken.
Even door zijn narratief heen prikken dus.
Massale versleuteling van alle dataverkeer was juist een gevolg van de onthullingen van Snowden dat overheden massaal hun eigen wetten overtraden en dat buitenlandse overheden massaal onschuldige mensen volgende en tapten. Als die overheden zich toen hadden beperkt tot de criminelen en verdachten we nu niet massaal alles versleuteld. Het vertrouwen is weg.
Neen.
Dat is een kulargument: je laat je hand maar amputeren omdat men misschien anders besluit je hele arm eraf te draaien. Je kunt niet "een beetje" aan encryptie doen, het is al moeilijk genoeg om uberhaupt een veilig algoritme te maken, laat staan eentje voor meeluisteraars.
Telefoongesprekken en internetverkeer kan ook beveiligd worden, het is een non argument om te zeggen dat je chatberichten maar leesbaar moeten zijn omdat telefoon en internetverkeer ook afgeluisterd kan worden.

Grapperhaus geeft inderdaad aan dat er een probleem aan het ontstaan is, alleen de manier van oplossing die hij aandraagt is weer volkomen verkeerd om en getuigd van kortzichtigheid. Ik snap niet waarom ik mijn privacy moet opgeven en een overheid in mijn persoonlijke correspondentie moet toelaten omdat er een aantal gekken rondlopen die toevallig gebruik maken van dezelfde dienst?
Het gaat in de praktijk nooit werken. Iedereen kan in principe zijn eigen beveiligingssleutels uitwisselen en hun communicatie daarmee versleutelen en ontsleutelen. Dit gebeurt volledig buiten het zicht van de autoriteiten. Criminelen maken hier nu al gebruik van.

De volgende stap zou dus een verbod op encryptie zijn maar dat is onmogelijk te handhaven.
Ik wordt er zo moe van die eeuwige discussie en grapperhaus is daarnaast heel voorspelbaar.

Toen ik dit las wist ik al genoeg
Dat moet gebeuren zodra er verdenkingen zijn van in het bijzonder kindermisbruik, al haalt Grapperhaus ook kort terrorisme aan als rechtvaardiging.
Om wetgeving er door heen te drukken en in een mooie verpakking aan de burger te verkopen wordt de pedofiel en de terrorist altijd van stal gehaald. Die doen het namelijk heel goed in de beeldvorming en zeg nu eerlijk wie wil nu niet dat een pedo en terrorist gepakt wordt.

Als je echter verder gaat nadenken is dit de bekende deur die op een kier komt te staan. De volgende stap is dat onze overheid na de vinger met de hand verder gaat, je hele arm en ja dan komt jou china verhaal boven, met een sleutel kan men alles inzien wat jij doet.

Ik geloof trouwens niet dat we hier een firewall zoals in china krijgen. De discussie over encryptie zal nog wel langer doorgaan.

Daarnaast in de praktijk download je dan een app buiten de eu of open source encryptie en gebruikt die. Maar wie weet wil men gebruik van encryptie zonder achterdeur wel strafbaar gaan stellen. Dat betekend dan meteen dat we idd richting een totalitair systeem gaan.
Ik schreef al een keer hoe je een "escrow" methode in kunt zetten waarbij mensen wél het vertrouwen kunnen houden dat het alleen gebruikt kan worden om de berichten van een terrorist/crimineel te ontsleutelen. In plaats van sleutels onder te brengen bij een notaris of in een of ander zwaar beveiligde bunker, kun je ze opsplitsen en onder alle gebruikers verdelen. Authoriteiten moeten dan een bepaald percentage van de gebruikers overtuigen van de noodzaak om te helpen een specifiek gecodeerd bericht te ontsleutelen door bijvoorbeeld via de pers uitleg te geven waarom het voor hen belangrijk is. Om te zorgen dat ze het vertrouwen behouden, zijn ze ook genoodzaakt om de bevolking via de pers ná ontsleuteling op de hoogte te houden van een onderzoek.

Maakt een overheid misbruik hiervan, dan zal de bereidheid van gebruikers om mee te helpen bij een volgende ontsleutelpoging afnemen en schieten zij zichzelf dus in de voet.
Zelfs als het voorgestelde wordt toegepast in een functionerende democratie, dan weerhoudt dat een ander land (Rusland/China/...) niet om dezelfde crypto-verzwakkingen te misbruiken. Die genereren gewoon mensen op papier, of zetten mensen onder druk. Of ze beslissen als volk dat ze alle berichten van de regering/bevolking van een vijandige staat gaan ontsleutelen.

Daarnaast heb je het probleem dat een functionerende democratie van vandaag, niet per se morgen nog functioneert. (verhoging van populisme/nationalisme, etc.)
Naast de wishful thinking, wat doet dit met bijvoorbeeld bepaalde regimes? Als je 1 milard onderdanen onder de plak hebt, is het niet zo moeilijk om een meerderheid te "overtuigen" om de chats van een paar vermeende dissidenten te kraken.
Of wat als iemand de boel hackt en er ineens miljoenen bots zijn die alle sleutels vrijgeven?
Dan zorg je dat je meer ja-knikkers in de pool krijgt. Google eens naar ""immigration mainland chinese hong kong" en trek je conclusies.
En wat nu als de er X% van de users bots zijn die altijd "voor" stemmen? Dus als er straks 10 echte gebruikers zijn, maar er 90 fake users zijn die wel stemrecht hebben? Als je dan 80% moet overtuigen om de key te krijgen, dan moet je alleen maar genoeg bots laten stemmen.
Zouden ze nou echt niet begrijpen dat dit ongeveer gelijk is aan: "he, ik zie dat je een slot op je huis hebt. Dat mag wel maar dan moeten wij ook een sleutel hebben zodat we naar binnen kunnen als we dat willen."
Beetje zoals alle staten in de VS, waar je de sleutels van je gebouwen buiten in een doosje aan de muur moet bevestigen :) https://www.reuters.com/a...ked-idUSBRE92004T20130301

de lockboxes werken met masterkeys die uitlekken, en vervolgens kan je in alle gebouwen binnen in die staat.
Is hier ook, voor de brandweer.
In veel gevalleen alleen voor de publieke ruimtes en speciale ruimtes voor gas/weter etc aansluitingen. Bovendien is iedereen vrij zijn voordeurslot te veranderen waardoor dat sowieso geen zin heeft.

Bij bedrijfspanden kan dat anders zijn.

[Reactie gewijzigd door Sloerie op 6 november 2019 16:03]

Inderdaad voor bedrijfspanden en instellingen. Voor woonhuizen is er de koevoet.
En dat kúnnen ze ook al. Dat heet een huiszoeking (net zoals ze je telefoon mogen hacken). Maar voor zo'n ingreep moet je via de rechter. Ze willen juist een methode waarmee het een stuk makkelijker is om alles uit het verleden, heden en toekomst mee te kijken.
Toch zit er een verschil in. Iemand met slechte bedoelingen kan geen huiszoekingsbevel aanvragen. Maar zou potentieel wel de sleutel voor mijn huis in handen kunnen krijgen. Of in het geval van een master sleutel, kan een inbreken makkelijk even alle huizen in de wijk langsgaan zonder braakschade of tijdverlies door het kraken van het slot.
Met een huiszoekingsbevel mogen ze dat ook, zelfs geforceerd. Daaruit zou volgen dat de 'achterdeur' alleen gebruikt zou mogen worden op het moment dat daar een rechter toestemming voor gegeven heeft.

[Reactie gewijzigd door _Dune_ op 6 november 2019 15:24]

Zucht, dit is heel simpel: Wiskundig gezien is een achterdeur onmogelijk, daar is wiskundig bewijs voor.
Zou je op de een of andere manier een achterdeur met een encryptiesleutel inbouwen met nieuwe algoritmes en die sleutel aan de overheid geven, dan is de kans groot dat die ook gestolen wordt, dat heeft de overheid zelf bewezen.
Dus bewezen slecht idee |:(
Dat snap ik niet. Wiskundig/technisch gezien is het juist heel goed mogelijk om een achterdeur in te bouwen (als je met een achterdeur bedoelt dat een derde mee kan lezen).

Bij asymmetrische encryptie zoals PGP is het heel goed mogelijk om iets met meerdere keys te versleutelen zodat de houder van één van die keys het bericht kan openen.

Mijns inziens is het grote gevaar dat de sleutel van die derde uitlekt en daardoor de communicatie effectief onversleuteld is. Of dat de sleutel voor een groot deel van de berichten gebruikt wordt waardoor het afluisteren van partij A ook direct de mogelijkheid biedt tot afluisteren van B, C, D, etc. zonder dat de rechter daarover beslist heeft.
Het probleem is min of meer dat de toegepaste beveiligingsmethode zijn eigen betrouwbaarheid niet meer kan garanderen als er derden bepaalde privileges in het proces hebben. Een achterdeur betekent infrastructuur die een risico maakt, niet elimineert. Een zichzelf respecterende beveiligingstechnologie kan dat niet verkopen.
Dat is eigenlijk wel waar de minister op doelt, hij wil gewoon een sleutel kunnen opvragen zodat hij iets kan lezen van een gebruiker. Het heeft geen zin om applicatie ontwikkelaars te vragen dit te doen. Het is (relatief) eenvoudig voor iemand die er handig mee is, wat certificaten in elkaar te sleutelen en die te gebruiken voor een eigen versleuteling op een app. Natuurlijk de geverifieerde apps / software vereisen ook geverifieerde certificaten. Al is daar ook (relatief) eenvoudig aan te komen.

Wanneer ziet men eens in dat dit een probleem is van alle tijden, alleen nu door technologie gemakkelijker bruikbaar is? In de 2e wereldoorlog was er de Enigma machine, die gehackt (gekraakt) moest worden om e.e.a. te kunnen begrijpen/ mee te kunnen lezen. Daarvoor was het zo dat je met briefjes en een 'vertaalsleutel' gecodeerde briefjes uit kon wisselen. Ook daar was het de kunst om de code te kraken waarna je de briefjes kon lezen. Gebruikte men voor verschillende personen verschillende codes, had je er niet genoeg aan om 1 code te kraken. Datzelfde geldt tegenwoordig voor (al) die apps. Versleutelt men het niet, of is er 1 algemene (wellicht vrij eenvoudig) te kraken sleutel, dan luisteren niet alleen de goedwillende partijen mee, maar ook kwaadwillenden. En dat laatste is nu net wat we met elkaar proberen te voorkomen.

Uiteindelijk komt het erop neer dat alleen overheden willen dat hun (geheime) communicatie netjes versleuteld en bij voorkeur 'niet te kraken' mag gebeuren, want alleen de overheid mag geheimen hebben, de gewone (goedwillende) burger interesseert hen totaal niet.
Ergens is het al gemakkelijker geworden om de locatie van informatie te vinden, want het staat allemaal op een telefoon. Het is alleen lastiger geworden om de sleutel(s) te kraken en de informatie leesbaar te krijgen.

Ik kan op mijn computer ook allerlei tooltjes installeren die bepaalde map-inhoud versleutelen, met allerlei verschillende encryptie methoden en sleutels, omdat er (ook vanwege werk) soms wel gevoelige data op kan staan. Moeten we het dan wel willen om daar een bepaalde sleutel voor te creëren waardoor er juist weer een soort veiligheidsrisico wordt geïntroduceerd? Of gaan we allerlei uitzonderingen introduceren, waardoor het toch voor de kwaadwillenden weer eenvoudig wordt ook deze vormen van data-encryptie te hanteren, want als het voor de overheid beschikbaar is/ mogelijk is 'veilig' te encrypten, dan is het ook al snel voor andere partijen mogelijk.

Enige oplossing is alles wereldwijd, ook vanuit de overheid, vrij beschikbaar en leesbaar te maken, maar dan moeten we wel heel veel vertrouwen hebben in onze medemens. Die heeft helaas maar al te vaak aangetoond in veel gevallen niet betrouwbaar te zijn en misbruik te maken van gegevens die deze ontvangt.
Enige wat enigzinds veilig zou kunnen is de functionaliteit van groepsgesprekken gebruiken na een trigger vanuit de chat-servers.
aka: de berichten versleutelen met de sleutel van de ontvanger en een sleutel van de maker, meegegeven in het signaal waardoor het effectief als een tap gaat werken.

Hierdoor is het dan, na een gerechtelijk bevel, mogelijk de communicatie vanaf dat moment te lezen, maar terugkijken en massaal afluisteren is niet mogelijk.

[update]
Mijn idee hierbij is dan ook dat die sleutel van de maker uniek is per tap. Het uitlekken heeft dan 0 effect voor anderen.
[/update]

[Reactie gewijzigd door hackerhater op 6 november 2019 16:13]

1 2 3 ... 6


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True